KongTuke új taktikája
A Huntress jelentése szerint a ClickFix és CrashFix módszerek egy új hullámát használják ki a KongTuke, hogy hamis Chrome bővítmények, például adblockerek és biztonsági eszközök álcája alatt terjeszthessék a Modelorat nevű kémprogramot. Ezek a kampányok pszichológiai megtévesztési trükkökre épülnek, a felhasználók hamis hibaüzenetekkel, leblokkolt tartalommal vagy kapcsolt funkciókkal találják szemben magukat, majd egy látszólag ártalmatlan javítási lépésre kényszerülnek, így egy parancs bemásolására és futtatására a terminálban vagy böngészőben.
A támadók klónozott weboldalokat hoznak létre, amelyek népszerű adblockerek vagy biztonsági eszközök hiteles másolatai. Az áldozat egy hamis frissítés vagy hibajavítás felületre kerül, ahol egy CAPTCHA-szerű ellenőrző lépés után egy skriptet vagy parancsot kell futtatnia. Ez a parancs valójában letölti és telepíti a Modelorat malware-t, amely böngészési adatok, jelszavak, kriptopénztárcák és egyéb információk ellopására specializálódott.
A Modelorat különösen veszélyes, mert alacsony detektálási aránnyal rendelkezik, és képes a legtöbb biztonsági szoftver elkerülésére. A támadók gyakran GitHubon, hamis letöltési oldalakon vagy kompromittált webhelyeken keresztül terjesztik a káros kódot, így még tapasztalt felhasználók is könnyen áldozatul eshetnek.
